OSSEC编写DECODE
OSSEC之所以产生报警,就是由于抓到了信息后由DECODE对信息进行解码,然后匹配规则(rule)进行相关告警产生ALERTID。
会编写DECODE会对使用OSSEC 有很大的帮助。
OSSEC测试命令 ossec-logtest。
这里编写一个简单的规则,遇到caoqing的时候,会产生一条ALERTID为8888严重度级别为7的报警信息。
首先是创建一个规则,在/var/ossec/rule下创建一个testrule.xml内容为:
<group name="localtest">
<rule id="8888" level="7">
<decoded_as>caoqing</decoded_as>
<description>testrule</description>
</rule>
</group>
编写DECODE,在/var/ossec/etc/decoder.xml(默认安装目录)
<decoder name="caoqing">
<prematch>^caoqing</prematch>
</decoder>
使用/var/ossec/bin/ossec-logtest进行测试
# /data/ossec/bin/ossec-logtest
2014/03/19 16:28:06 ossec-testrule: INFO: Reading local decoder file.
2014/03/19 16:28:06 ossec-testrule: INFO: Started (pid: 23621).
ossec-testrule: Type one log per line.
caoqing
**Phase 1: Completed pre-decoding.
full event: 'caoqing'
hostname: 'kvmtest02'
program_name: '(null)'
log: 'caoqing'
**Phase 2: Completed decoding.
decoder: 'caoqing'
**Phase 3: Completed filtering (rules).
Rule id: '8888'
Level: '7'
Description: 'testrule'
**Alert to be generated.
转载于:https://my.oschina.net/u/1449160/blog/212663